[보안뉴스 주소형] 암호화 키와 디지털인증서에 대한 불신이 높아졌다. 데이터를 보호하기 위해 믿고 사용해야 하는 디지털 인증과 암호화 키 등이 제 기능을 발휘하지 못함을 경험했던 학습효과 때문이다. 지난해 전 세계의 보안을 위협하는 하트블리드(Heartbleed)도 이러한 인식기여에 한몫했다.

보안 컨설팅업체인 포네몬(Ponemon)이 2년에 한번 발간하는 ‘신뢰가 무너지면서 발생하는 피해비용(Cost of Failed Trust)’ 보고서는 향후 2년간 전 세계 5,000개 기업의 보안 툴이 공격을 받고 해당 피해비용은 약 5,300만 달러수준으로 예상했다. 이는 2013년 대비 51% 급증한 수치다. 이 보고서는 전 세계 2,300명의 IT 전문가들을 대상으로 조사하여 집계됐다.      

해당 보고서는 데이터 보안기업 베나피(Venafi)와 함께 조사한 부분이 있는데 그 통계를 살펴보면 기업이 웹서버, 네트워크 기기, 클라우드 서비스 등에 암호화 키와 인증서 사용 현황이 나와 있다. 지난 2년간 해당 사례는 34%이상 늘어난 것으로 집계됐다. 이는 한 기업 당 2만 4,000번에 해당되는 수치다. 그런데 응답자의 54%는 그들이 사용하고 있는 모든 보안 키와 인증서들이 어디 있는지도 모른다고 답했다.

또한 거의 모든 응답자가 지난 2년간 그들의 보안 키와 인증서에 수많은 공격들이 가해졌다고 답했다. 특히 이동이 가능한 보안 인증서의 경우 가장 많은 공격을 받은 것으로 파악됐다. 2,300명의 응답자가 1억 2,600만 달러 정도의 피해를 입었다.

보안 전문가들은 기업의 암호통신을 도청하거나 가로채는 식의 중간자공격 등이 늘어나고 있는데 이를 암호화 키와 디지털인증서가 제대로 대응하지 못하고 있다고 설명했다. 이로 인해 기업들의 기밀문서와 같은 중요한 정보들이 새어나가고 있는 것. 지난 12월, 인텔의 전문가들은 블로그를 통해 보안인증서를 훔치는 멀웨어가 엄청나게 커질 것이라는 글을 올리기도 했다.      

해당 문제가 커지는 주요 요인은 보안 키와 인증서가 남발되고 있기 때문이라고 베나피의 보안 전략 담당 케빈 보섹(Kevin Bocek) 부사장은 설명했다. 클라우드 서비스와 모바일 시스템 등과 같은 새로운 기술들이 하루가 멀다 하고 등장하고 있다는 것이다. 이로 인해 기업들은 한 눈에 보안 키와 인증서의 사용 현황을 파악하기가 힘들어 지고 있다.

“대부분의 관리시스템 키는 정보를 저장하는 역할에만 그치고 있는 등 제대로 활용되지 못하고 있다”라고 보섹 부사장이 덧붙였다.

한편 베나피사는 기업들이 가지고 있는 인증서에 대한 신뢰도를 바탕으로 평가하는 플랫폼인 베나피트러스트넷(VenifiTrustNet)을 제공한다고 보고서를 통해 밝혔다. 이는 기업들이 현명하게 보안할 수 있도록 돕게 될 것으로 보섹 부사장은 기대했다. 

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>